inheritancelighttpd服务器,我有点无知。 尝试使用SNI安装第三个SSL证书而不使用其他IP。 目前,lighttpd.conf中的SSLconfiguration如下所示: $SERVER["socket"] == ":443" { ssl.engine = "enable" ssl.pemfile = "/etc/ssl/private/domain1.com.pem" ssl.ca-file = "/etc/ssl/private/chain.cer" $HTTP["host"] == "domain2.com" { ssl.pemfile = "/etc/ssl/private/domain2.com.pem" ssl.ca-file = "/etc/ssl/private/chain.cer" } } 尝试添加第三个证书,如下所示: $SERVER["socket"] == ":443" { ssl.engine = "enable" ssl.pemfile = "/etc/ssl/private/domain1.com.pem" ssl.ca-file = "/etc/ssl/private/chain.cer" $HTTP["host"] == "domain2.com" { ssl.pemfile = "/etc/ssl/private/domain2.com.pem" ssl.ca-file = "/etc/ssl/private/chain.cer" } $HTTP["host"] == […]
我有一个单一的IIS网站,主办3个不同的网站,都使用相同的UCC SSL证书。 (我的网站的代码检查主机头本身,以决定哪个网站的变化显示)。 我已经修复了我的XP上的Internet Explorer用户的最致命的错误,那就是禁用IIS中的“要求主题名称指示”字段。 由于当XP用户切换到HTTPS时,如果启用了SNI,他们基本上会在没有任何警告的情况下被踢出网站(不要告诉我的老板)。 所以我完全明白,当一个用户通过HTTPS访问这三个站点中的任何一个共享同一个IP时,他被发送到同一个IIS站点并且服务于UCC证书。 即使XP支持UCC / SAN证书,以便客户端接受证书并按预期显示站点。 现在…忘记所有这些,并考虑第二个非假设的情况。 让我们假装我有两个网站: cats.com和dogs.com 他们是不同的网站,并部署在IIS 8中的两个不同的网站。 他们都在同一个UCC SSL证书* SNI被禁用 它们都绑定到相同的IP地址 现在考虑XP用户访问https://cats.com 以下是我理解事情的工作方式: DNS给浏览器返回我的IP – 可以说1.2.3.4 一个HTTPs连接被协商,但是因为XP不知道关于SNI的任何事情,它不是发送一个SSL主机头(或者他们被称为),而是通过IP访问安全站点。 所以IIS会查找与https网站绑定关联的IP,并且实际上会find两个。 比方说,IIS决定只是为您提供第一个 – 所以它给你你所期望的cats.com 。 所以没关系 但可以说,你去https://dogs.com – 你不应该实际上服务的网站cats.com因为XP上的SSL不知道SNI的SSL连接,反正它在IIS中被禁用? 那么你不。 你得到dogs.com。 我已经试过了, cats.com和dogs.com都是从Windows XP Internet Explorer 8客户端运行的。 我只是不明白为什么这个工作。 我会期待这种行为只在我的第一种情况下,当他们都共享一个IIS应用程序。 我最好的猜测是IIS 8正在接收主机头,而且足够聪明,可以将其路由到正确的网站,并find一个UCC证书名称。 那是怎么回事? 有人能进一步解释吗? *只是故意烦扰技术头脑的猫和狗主人;-)
我们是一个多租户服务,并在我们的负载均衡器(HAProxy + Apache for SSL终止)中终止我们的SSL,由于专用IP需求,这已经引起了越来越大的痛苦。 但时代已经改变,我们正在考虑转向SNI,所以我希望2015年的教育意见能够把它作为我们的标准。 我将概述我们的假设: 由于POODLE攻击,SSL已经死亡(长寿命TLS) TLS内置了SNI IE6 / Windows XP(<sp3)由于多种原因而死亡,其中最重要的就是XP要进入EOL 在这一点上,我们已经终止了对IE7和IE8的支持 我认为现在SNI基本上是全球支持的吗? …和… 除此之外,我还应该考虑哪些情况会影响支持? 最后… 既然HAProxy 1.5直接支持SSL终止,那么直接与SNI有关的经验是否会影响到我们推出这项服务的能力呢?
SNI(服务器名称指示)是对TLS / SSL协议的扩展,允许networking服务器在同一个IP上提供多个域,所有域都具有不同的SSL服务器证书。 SNI发现适合于他们要求的域/ URL的SSL证书。 在SNI之前,所有侦听相同IP和端口的虚拟主机都必须具有相同的SSL证书。 任何人都知道,我可以在同一个IP上服务的域名数量有限制吗? 用标准的http,没有限制。 我只是为每个域指定一个不同的虚拟主机,并且Web服务器将客户机的“主机:”头匹配到匹配的server_name或server_alias虚拟主机。 SNI的工作原理类似,但匹配SSL证书,一个IP上可能有数百个。 我想知道有没有人知道SNI是否有限制,或者在同一个IP上有数百个证书缓慢执行。
如果没有configurationapache来支持SNI,我可以购买一个SSL证书,并在具有2个基于名称的Vhost的Centos Linux服务器上使用吗? 我只对保护这两个域中的一个感兴趣。 这可以在httpdconfiguration文件中configuration,例如列出需要保护的域名,首先等等? 我知道SNI可以用于多个域的单个服务器上的多个证书。 就我而言,我只对确保单个域名感兴趣。
我设法设置一个物理服务器使用后缀,dovecot与MySQL服务器。 我打算使用虚拟域和用户。 目前的设置发送和接收电子邮件。 发送 smtp.example.com 接收 pop.example.com 现在的问题是,一个普通的通配符ssl证书的工作? 或者我应该只使用一个域来简化它像mail.example.com发送和接收?
我想在我的CentOS 5.5开发服务器上的SNI,因为它看起来像我现在的回购版本的openssl和Apache,运行之前我去编译自定义的RPMs,我想我会看看如果我能得到它的工作与gnutls。 有人知道怎么做吗? 据yum,gnutls已经安装,但我没有看到它在我的Apache模块目录。
我有一台服务器提供多个SSL虚拟主机和非SSL虚拟主机。 如果使用“https”访问其中一个非SSL虚拟主机,则使用第一个SSL指令。 是否有一些设置,以便只有显式匹配服务器名称的虚拟主机才能使用? 所以,假设我有www.a.com , www.b.com和www.c.com 。 比方说,我也有https://www.a.com和https://www.b.com 。 如果我去https://www.c.com ,就和使用网站https://www.a.com 。 这是不受欢迎的行为。 有什么我可以设置,以便没有网站将被使用?
在我的apache2 error.log中,我每隔几分钟就会看到一条错误消息:“通过SNI提供的Hostname …和通过HTTP提供的hostname www.google.com.hk提供的是不同的”。 在access.log中,每个错误通常可以连接到一个HEAD请求。 我们在多个Google Cloud实例上有这些错误。 所有Ubuntu 14.04与Apache2.4。 在一些错误下面join了访问日志信息。 任何想法如何我们可以防止这样的错误与我们的服务器configuration? 还是那些客户端错误,这是好的Apache的日志呢? 或者我们可以过滤这些错误,使他们不会被添加到error.log文件? 问候,埃里克 [tue Sep 22 00:05:05.427193 2015] [ssl:error] [pid 30172] AH02032:通过SNI提供的主机名?18880和通过HTTP提供的主机名www.google.com.hk不同171.118.181.162 – [22 / Sep / 2015:00:05:05 +0200]“HEAD / search?q = g HTTP / 1.1”400 5568“ – ”“ – [tue Sep 22 00:23:28.422609 2015] [ssl:error] [pid 31700] AH02032:通过SNI提供的主机名?20939和通过HTTP提供的主机名www.google.com.hk不同183.15.28.236 – – [22 / Sep […]
我试图在Debian Wheezy中运行stunnel-4.53-1.1。 我的configuration(/etc/stunnel/stunnel.conf)的重要部分如下所示: [https] cert = /etc/ssl/certs/mydomain.pem key = /etc/ssl/private/mydomain.key accept = 443 connect = localhost:80 pty = no [host1] connect = localhost:80 sni = https:host1.mydomain.com cert = /etc/ssl/certs/host1.mydomain.pem key = /etc/ssl/private/host1.mydomain.key [host2] connect = localhost:81 sni = https:host2.mydomain.com cert = /etc/ssl/certs/host2.mydomain.pem key = /etc/ssl/private/host2.mydomain.key 当我访问host1(使用最近的firefox)时,这个configuration工作正常。 但是,如果我访问host2,我得到了host1提供的证书,导致在Firefox中发出警告。 如果我接受错误的证书stunnel反正连接我localhost:80而不是本地主机:81。 我用两个虚拟apache主机来检查一般的SSL / SNI设置。 这里一切都按预期工作。 任何人都可以解释stunnel的这种行为,甚至可能知道如何解决它? 提前谢谢了